Para peneliti telah mengidentifikasi sekelompok baru aktivitas dunia maya berbahaya yang dilacak sebagai Moshen Dragon, yang menargetkan penyedia layanan telekomunikasi di Asia Tengah.
Meskipun kelompok ancaman baru ini memiliki beberapa tumpang tindih dengan “RedFoxtrot” dan “Nomad Panda,” termasuk penggunaan varian malware ShadowPad dan PlugX, ada cukup banyak perbedaan dalam aktivitas mereka untuk mengikuti mereka secara terpisah.
Menurut laporan baru oleh Sentinel Labs, Moshen Dragon adalah kelompok peretas yang terampil dengan kemampuan untuk menyesuaikan pendekatannya tergantung pada pertahanan yang mereka hadapi.
Peretas terlibat secara ekstensif dalam mencoba melakukan sideload Windows DLL berbahaya ke dalam produk antivirus, mencuri kredensial untuk bergerak secara lateral, dan akhirnya mengekstrak data dari mesin yang terinfeksi.
Saat ini, vektor infeksi tidak diketahui, jadi laporan Sentinel Lab dimulai dengan penyalahgunaan antivirus, yang mencakup produk dari TrendMicro, Bitdefender, McAfee, Symantec, dan Kaspersky.
Karena produk AV ini berjalan dengan hak istimewa tinggi pada OS Windows, pemuatan samping DLL berbahaya pada prosesnya memungkinkan peretas menjalankan kode pada mesin dengan sedikit batasan dan berpotensi menghindari deteksi.
Moshen Dragon menggunakan metode ini untuk menerapkan Impacket, kit Python yang dibuat untuk memfasilitasi gerakan lateral dan eksekusi kode jarak jauh melalui Windows Management Instrumentation (WMI).
Impacket juga membantu pencurian kredensial, menggabungkan alat sumber terbuka yang menangkap detail perubahan kata sandi pada domain dan menulisnya ke file “C:\Windows\Temp\Filter.log”.
Memiliki akses ke sistem tetangga, grup ancaman menjatuhkan pemuat pasif pada mereka yang mengonfirmasi bahwa itu ada di mesin yang tepat sebelum mengaktifkan dengan membandingkan nama host dengan nilai hardcoded.
Seperti yang disarankan oleh Sentinel Labs, ini merupakan indikasi bahwa pelaku ancaman menghasilkan DLL unik untuk setiap mesin yang ditargetkannya, indikasi lain dari kecanggihan dan ketekunan mereka.
Loader menggunakan paket sniffer WinDivert untuk mencegat lalu lintas masuk sampai mendapatkan string yang diperlukan untuk dekripsi diri dan kemudian membongkar dan meluncurkan payload (SNAC.log atau bdch.tmp).
Menurut Sentinel Labs, muatannya mencakup varian PlugX dan ShadowPad, dua pintu belakang yang digunakan beberapa APT China dalam beberapa tahun terakhir. Tujuan akhir dari aktor ancaman adalah untuk mengekstrak data dari sistem sebanyak mungkin.
Temuan menarik adalah bahwa loader yang dianalisis oleh Sentinel Labs kali ini telah ditemukan lagi oleh peneliti Avast pada Desember 2021, yang menemukannya di sistem pemerintah AS.
Ini bisa berarti bahwa Moshen Dragon memiliki banyak target atau mengalihkan fokusnya, atau hanya beberapa APT China yang menggunakan pemuat tertentu.
Sumber: Bleeping Computer
